云計(jì)算環(huán)境下訪問控制模型的研究

云計(jì)算環(huán)境下訪問控制模型的研究

1云計(jì)算中的安全問題云計(jì)算是在基于分布式處理、并行計(jì)算和網(wǎng)格計(jì)算的基礎(chǔ)上發(fā)展起來的一種新興的計(jì)算模式。它連接了大量存儲源、計(jì)算資源和軟件資源，形成了一個巨大的共享虛擬資源池，并為遠(yuǎn)程計(jì)算機(jī)用戶提供了可靠的服務(wù)。云計(jì)算的快速發(fā)展導(dǎo)致了服務(wù)模式的變化，同時也帶來了許多新的安全挑戰(zhàn)。目前，許多云服務(wù)提供商無法有效保證其服務(wù)的安全性。安全問題的頻繁發(fā)生不僅使云計(jì)算技術(shù)發(fā)展起來，也給云用戶帶來了很多問題。2相關(guān)主題和研究現(xiàn)狀2.1數(shù)據(jù)和存儲的安全性傳統(tǒng)環(huán)境下的數(shù)據(jù)可以受到局域網(wǎng)的保護(hù),而云計(jì)算環(huán)境下的數(shù)據(jù)存儲在云端,由于云計(jì)算系統(tǒng)的規(guī)模巨大、虛擬化、開放性等特點(diǎn),使其面臨的安全問題更為嚴(yán)峻,數(shù)據(jù)的安全性更難保證.如何保證用戶的數(shù)據(jù)不被非法訪問和泄露是云計(jì)算環(huán)境下亟待解決的兩個重要問題.此外,還存在云服務(wù)器并不對客體擁有者的數(shù)據(jù)丟失等安全問題負(fù)責(zé);客體擁有者對云服務(wù)器的依賴程度過大,對所屬客體的管理控制能力減弱等問題.雖然加密技術(shù)能夠提高數(shù)據(jù)存儲和傳輸過程中的安全性和可靠性,但使管理過程變得復(fù)雜.建立私有云也能夠提高數(shù)據(jù)的安全性,但費(fèi)用較高,也不能有效發(fā)揮云計(jì)算的靈活性和彈性等特性.因此迫切需求一種適合于云計(jì)算環(huán)境下的訪問控制方案來解決這些問題.2.2tbac自動授權(quán)模型訪問控制是保護(hù)用戶數(shù)據(jù)安全,防止信息泄露的重要手段.它可以保障合法用戶訪問和使用授權(quán)內(nèi)的網(wǎng)絡(luò)資源,防止非法用戶的侵入或者合法用戶的不慎操作造成破壞.目前已有的典型訪問控制模型主要有自主訪問控制模型(DAC)、強(qiáng)制訪問控制模型(MAC)、基于角色的訪問控制模型(RBAC)以及基于任務(wù)的訪問控制模型(TBAC).其中RBAC和TBAC模型是現(xiàn)在常用的兩種模型.RBAC引入了角色的概念,分離了主客體,簡化了管理,并且易于擴(kuò)展,但對角色授權(quán)管理時沒有考慮執(zhí)行的上下文環(huán)境,只適用于角色結(jié)構(gòu)嚴(yán)謹(jǐn)?shù)钠髽I(yè)內(nèi)部訪問控制.TBAC是一種動態(tài)授權(quán)的主動安全模型,僅在任務(wù)執(zhí)行時主體對客體才具有權(quán)限,一旦任務(wù)結(jié)束就釋放權(quán)限.但TBAC模型沒有分離角色和任務(wù),不支持角色的層次等級,也不支持被動訪問控制,授權(quán)管理復(fù)雜,很難單獨(dú)模型化,適用于事務(wù)管理系統(tǒng)、工作流、分布式處理以及多點(diǎn)訪問控制的信息處理.目前,針對云計(jì)算環(huán)境下的訪問控制,國內(nèi)外學(xué)者在已有的訪問控制模型的基礎(chǔ)上進(jìn)行了研究,提出了一些訪問控制模型.LI等對SaaS平臺下的RBAC模型進(jìn)行了改進(jìn),解決了云計(jì)算環(huán)境下部分訪問控制問題,但沒有考慮訪問控制過程中的上下文環(huán)境.朱養(yǎng)鵬等提出的SaaS平臺權(quán)限管理模型能夠保證用戶的數(shù)據(jù)安全,但其定義的租戶,租戶用戶,租戶角色等概念,復(fù)雜化了角色之間的層次關(guān)系.趙明斌等提出的基于RBAC的云計(jì)算訪問控制模型,提高了云計(jì)算環(huán)境下數(shù)據(jù)的安全性和靈活性,但忽略了云服務(wù)提供商的可信性,對用戶數(shù)據(jù)的安全構(gòu)成了威脅.林果園等提出的基于行為的云計(jì)算訪問控制安全模型保證了云服務(wù)器中數(shù)據(jù)的安全性和保密性,但模型中“上讀、下寫”的特性降低了它的可用性.Tang等把云環(huán)境下的用戶劃分為普通用戶和資源所有者,由資源所有者授予用戶訪問相應(yīng)資源的權(quán)限,增加了資源所有者的管理負(fù)擔(dān).洪澄等提出的云存儲密文訪問控制,保證了數(shù)據(jù)的機(jī)密性,但增加了管理成本和負(fù)擔(dān).本文在TBAC和RBAC模型的基礎(chǔ)上,提出了一種云計(jì)算環(huán)境下的訪問控制(CT-RBAC)模型.該模型主要保持了RBAC分離了主客體、便于管理、易于擴(kuò)展的特點(diǎn)以及TBAC動態(tài)授權(quán)的優(yōu)點(diǎn),也結(jié)合了MAC根據(jù)安全屬性強(qiáng)制性決定一個主體是否可以訪問某個客體的特點(diǎn),能夠在一定程度上避免機(jī)密信息的意外泄漏.此外,該模型考慮了對角色授權(quán)管理時的上下文環(huán)境,既支持主動訪問又支持被動訪問.3ct-rbac模型3.1ct-rbac模型CT-RBAC模型主要是在RBAC和TBAC的基礎(chǔ)上進(jìn)行了改進(jìn)和擴(kuò)展,模型主要由云用戶,角色,任務(wù),權(quán)限,云客體等元素組成.CT-RBAC模型的架構(gòu)如圖1所示.3.2云用戶云客體的分類模型的形式化定義如下:云用戶集:CU={cui|i=1,2,…,m},云用戶是訪問云服務(wù)器上資源的用戶.安全級別:SL={H,M,L,…},云用戶以云客體的安全級別,本文中取高(H)、中(M)、低(L)三個級別.屬性集:A={ai|i=1,2,…,n},云用戶或者云客體自身所擁有的一些特性.如云用戶的姓名、部門、職位等信息,云客體的名稱,大小,所屬的客體擁有者等信息.角色集:R={ri|i=1,2,…,n},角色是云用戶可以執(zhí)行的操作的集合.任務(wù)集:T={tj|j=1,2,…,n},任務(wù)是云用戶需要處理的操作,是能夠區(qū)分的動作,一個任務(wù)可以分割成若干個子任務(wù).權(quán)限集:P={pi|i=1,2,…,p},權(quán)限是云用戶對云客體進(jìn)行操作的能力,包括讀、寫、執(zhí)行、虛擬資源調(diào)度等.會話集:S={si|i=1,2,…,s},會話是云用戶與所激活角色之間的一種映射.約束集:C={ci|i=1,2,…,q},訪問控制過程中對相應(yīng)指派規(guī)則所作的限制條件.任務(wù)情景集:TS={tsi|i=1,2,…,u},任務(wù)情景是任務(wù)執(zhí)行時的安全信息,包括時間狀態(tài)、環(huán)境狀態(tài)和監(jiān)控信息.依賴:任務(wù)之間具有的一些相互依賴關(guān)系.CURA:,角色到云用戶的分配關(guān)系.TPA:,權(quán)限到任務(wù)的分配關(guān)系.4訪問控制策略ct-rbac4.1云計(jì)算界面下的訪問控制管理策略云計(jì)算環(huán)境下的訪問控制不僅需要保障數(shù)據(jù)的安全可靠性,也需要保持云計(jì)算的開放性.本方案的訪問控制策略參考了文獻(xiàn),在文獻(xiàn)的基礎(chǔ)上進(jìn)行了充分的擴(kuò)展和改進(jìn).這里主要從以下5個角度來實(shí)現(xiàn)云計(jì)算環(huán)境下的訪問控制管理策略.具體如下:(1)云用戶管理和保護(hù)機(jī)制由于本地用戶數(shù)量有限,并且用戶屬性一般不會發(fā)生變化.與本地用戶不同,云計(jì)算環(huán)境下的云用戶數(shù)量跟屬性是都動態(tài)變化的,如何實(shí)現(xiàn)對云用戶的有效管理是訪問控制管理中的一個重要問題.為了實(shí)現(xiàn)對角色的分類授權(quán)管理,把云計(jì)算環(huán)境下的用戶劃分為客體擁有者、云服務(wù)器、云用戶三類.客體擁有者根據(jù)客體的重要程度來劃分它的安全級別(本文中取高、中、低三個級別)再將所屬的客體上傳到云服務(wù)器上,并且授予云服務(wù)器對其的管理權(quán)限,因此相應(yīng)云客體的安全級別與客體的安全級別是一樣的.云服務(wù)器負(fù)責(zé)管理和維護(hù)云客體.(2)任務(wù)情境集及任務(wù)情境集CT-RBAC中,任務(wù)把角色和權(quán)限關(guān)聯(lián)起來,因此對任務(wù)的管理是至關(guān)重要的.任務(wù)是隨著云用戶的變化而變化的,需要保證同一云用戶在不同條件下的任務(wù)執(zhí)行狀況是不同的.①任務(wù)分類:為了簡化對任務(wù)的管理,從兩個角度對任務(wù)進(jìn)行分類.從任務(wù)的權(quán)限是否具有可繼承性的角度把任務(wù)分為可繼承權(quán)限的任務(wù)和不可繼承權(quán)限的任務(wù).監(jiān)管類和活動批準(zhǔn)類任務(wù)是可繼承權(quán)限的任務(wù),私有類任務(wù)和工作流類任務(wù)是不可繼承權(quán)限的任務(wù).另外,從應(yīng)用的角度把任務(wù)分為工作流類(W類)任務(wù)和非工作流類任務(wù)(NW類)任務(wù).其中,W類任務(wù)是主動訪問控制,NW類任務(wù)是被動訪問控制.②任務(wù)情景集:為了確保某任務(wù)只能在特定的系統(tǒng)環(huán)境中并且由特定角色的云用戶執(zhí)行,這里引入了任務(wù)情景集,它包含了任務(wù)執(zhí)行時的環(huán)境狀態(tài)(IP地址、軟件平臺、物理位置等),時間狀態(tài)(任務(wù)開始執(zhí)行的時間、持續(xù)的時間、結(jié)束的時間等),監(jiān)控信息(云用戶屬性的更改、訪問過程行為的可疑、黑名單用戶等).任務(wù)情景的變化對任務(wù)所能享有的權(quán)限具有直接影響,任務(wù)的狀態(tài)也會動態(tài)的變化.例如,云計(jì)算提供的某服務(wù)只允許部分云用戶在特定的時間段和網(wǎng)絡(luò)內(nèi)訪問某些數(shù)據(jù),而在其他情況下的訪問請求就被拒絕.③任務(wù)優(yōu)先級:為了避免任務(wù)調(diào)用過程中相互之間發(fā)生沖突,給任務(wù)劃分不同的優(yōu)先級別P.如果發(fā)生沖突,由優(yōu)先級高的任務(wù)優(yōu)先執(zhí)行.另外,為了防止優(yōu)先級高的任務(wù)一直占用資源,使優(yōu)先級低的任務(wù)始終得不到執(zhí)行,設(shè)置每個任務(wù)的執(zhí)行時限為t,超過時間段t之后由優(yōu)先級隊(duì)列中的下一任務(wù)執(zhí)行.(3)活動角色與角色同一時間段內(nèi),為了防止CT-RBAC模型中云用戶與云用戶之間、角色與角色之間以及會話與會話之間發(fā)生沖突,需要分別對云用戶、角色以及會話設(shè)置約束條件.①對云用戶的約束:某一時間段內(nèi),云用戶所擁有的角色數(shù)目是有限的.②對角色的約束:要限制同一角色只能分配給有限個云用戶.同一時間段內(nèi),相互沖突的角色,是不能同時分配給同一云用戶的,相互沖突的云用戶也不能屬于相互沖突的角色.特定的角色可以被激活,但只能在規(guī)定的時間段內(nèi)(ta,tb)內(nèi)被激活,并且該角色被激活的總次數(shù)是有限的.某段時間內(nèi),活動角色的總數(shù)目也是有限的.③對會話的約束:在特定的時間段(tm,tn)內(nèi),某個云用戶所能激活的會話數(shù)只能是有限個,并且在一次會話中的活動角色之間是不能相互沖突的.(4)云用戶的安全級別存儲在本地的數(shù)據(jù)可以受到局域網(wǎng)的保護(hù),而云計(jì)算環(huán)境的開放性、共享性等特點(diǎn)以及云服務(wù)器的存在,使存儲在云服務(wù)器上的云客體面臨很多安全威脅.因此應(yīng)對數(shù)據(jù)設(shè)置不同的安全等級設(shè)來細(xì)化對數(shù)據(jù)的訪問控制管理.當(dāng)云用戶創(chuàng)建時,云服務(wù)器根據(jù)云用戶的具體屬性(如職位、部門等)來設(shè)置它的安全級別,本文中取高、中、低三個級別.默認(rèn)情況下,當(dāng)云用戶的安全級別高于云客體的安全級別時,對其具有讀寫權(quán)限;當(dāng)云用戶的安全級別與云客體的安全級別相同時,對其具有只讀權(quán)限;當(dāng)云用戶的安全級別低于云客體的安全級別時,對其具有最小權(quán)限(即只對部分共享的數(shù)據(jù)有只讀權(quán)限).如圖2所示,這樣分級地管理云用戶和云客體,使同一云用戶在分配特定角色的基礎(chǔ)上對不同安全級別的云客體具有不同的訪問權(quán)限,簡化了對云用戶的管理并且在一定程度上保護(hù)了云客體的安性.(5)云用戶與云服務(wù)器間的關(guān)系訪問控制的主要目的之一就是防止非法用戶獲得權(quán)限,因此,對權(quán)限的管理尤為重要.CT-RBAC模型中的關(guān)系主要包括云用戶與云服務(wù)器之間的關(guān)系和云服務(wù)器與客體擁有者之間的關(guān)系,對權(quán)限的管理也從這兩方面進(jìn)行.異常訪問行為在訪問過程中云用戶對權(quán)限的需求往往是動態(tài)變化的,需要根據(jù)實(shí)際的訪問情況來調(diào)整它的安全級別.這樣,由云服務(wù)器監(jiān)控云用戶的訪問行為,如果發(fā)現(xiàn)它的行為異常,則向下修改它的安全級別,嚴(yán)重情況下,強(qiáng)制其退出訪問;如果云用戶所具有的權(quán)限太小,以至于不能滿足訪問需求時,則向云服務(wù)器提出向上修改安全級別的請求,云服務(wù)器對該云用戶進(jìn)行安全驗(yàn)證后,發(fā)送修改云用戶安全級別(云服務(wù)器為云用戶所要修改的安全級別是能夠滿足其訪問需求的最低安全級別)的申請和云用戶的信息給客體擁有者.向客體者發(fā)送保證保護(hù)客體擁有者授予云服務(wù)器對其上傳客體的管理權(quán)并且監(jiān)控云服務(wù)器對其數(shù)據(jù)的管理行為.例如,當(dāng)云服務(wù)器發(fā)送修改云用戶安全級別的申請和云用戶的信息給客體擁有者時,客體擁有者檢查云服務(wù)器提交的信息后,發(fā)送允許或者拒絕修改云用戶安全級別的消息給云服務(wù)器.這樣,當(dāng)云用戶訪問該云客體時由客體擁有者和云服務(wù)器共同管理,通過授權(quán)管理轉(zhuǎn)換了云服務(wù)器在訪問控制中的角色,使云服務(wù)器充當(dāng)傳遞訪問請求的中介.在一定程度上降低了云用戶對云服務(wù)器的依賴,避免了由于云服務(wù)器的權(quán)限過大而帶來的安全威脅,提高了客體擁有者對所屬客體的監(jiān)控能力并且減少了管理負(fù)擔(dān).4.2cua訪問過程在CT-RBAC的模型中,云用戶在CURA關(guān)系下得到角色,通過TRA把相應(yīng)的任務(wù)和角色關(guān)聯(lián)起來,并通過TPA分配客體的訪問權(quán)限給任務(wù)來完成分級訪問控制.圖3為一次訪問授權(quán)過程的流程圖.具體過程如下:步驟1:當(dāng)云用戶CUi申請?jiān)L問云服務(wù)器CS上某一特定云客體COj(其擁有者是OWj時),CUi發(fā)送訪問請求Acc給CS.步驟2:CS將CUi的信息和Acc提交給OWj,如圖3中過程①所示.OWj檢查CS提供的信息,若OWj允許CUi訪問COj則發(fā)送App給CS,否則發(fā)送Rej,如過程②所示.CS對客體權(quán)限列表做出相應(yīng)的修改同時根據(jù)OWj返回的信息允許或者拒絕CUi的Acc,如過程③所示.如果允許轉(zhuǎn)步驟3,否則強(qiáng)制CUi退出,訪問結(jié)束.步驟3:默認(rèn)情況下,若CUi是首次訪問COj,則CUi具有創(chuàng)建時CS為其劃分的安全級別;否則,CUi擁有最近一次訪問COj的安全級別.步驟3.1如果CUi現(xiàn)有的權(quán)限能夠滿足對COj的訪問需求,那么CUi不需要再申請修改安全級別.步驟3.2如果CUi現(xiàn)有的權(quán)限太小以至于不能夠滿足對COj的訪問需求,則向CS提出向上修改安全級別的申請CP,如過程④所示.CS根據(jù)CUi現(xiàn)有的安全級別、訪問需求、約束條件等,把修改CUi安全級別的請求以及CUi的信息發(fā)送給OWj,如過程①所示.OWj檢查CS提供的信息,若OWj同意修改請求,返回App,否則返回Rej,如過程②所示.CS對客體權(quán)限列表做出相應(yīng)的修改后,轉(zhuǎn)步